から ハッカーが数百万のサイトで使用されているSSL暗号化を破る :
この脆弱性は、バージョン1.0以前のTLS、またはインターネットの信頼の基盤として機能するセキュアソケットレイヤーテクノロジーの後継であるトランスポートレイヤーセキュリティに存在します。 TLSのバージョン1.1と1.2は影響を受けませんが、ブラウザとWebサイトではほとんどサポートされていません。
これは本当ですか?多くのサイト/ウェブブラウザがまだTLS 1.0を使用していることを確認できる統計はありますか?
はい、ほぼ全員がまだSSL 3.0またはTLS 1.0を使用しています。 QualysのIvan Risticが今年、Blackhatで素敵な講演を行いました。
詳細はまだ公表されていないため、現時点ではその影響については議論の余地がありますが、攻撃が本物かどうかは確かに本物だと理解しています。
更新-rc4はこの攻撃に対して脆弱ではないため、暗号スイートリストの最上位にrc4を追加することをお勧めします。 1日の調査の結果、攻撃はもっともらしく、場合によっては深刻に見えます。
Apacheの場合、次のようなものがそれを行うはずです。
SSLCipherSuite!aNULL:!eNULL:!EXPORT:!DSS:!DES:!SSLv2:RC4-SHA:RC4-MD5:ALL SSLHonorCipherOrder on
承知しました。 QualysのIvan Risticが詳細な分析を行っています。短いバージョンでは、TLS 1.1またはTLS 1.2をサポートするWebサイトはほとんどありません。以下は、彼が提供した1つの概要です。
以下は、関連する概要です The Registerに表示されます :
詳細については、 Qualys 2010 SSL調査 および G-SEC SSL強化と互換性調査 を参照してください。